Anzeige
Anzeige
Kommentar
Artikel merken

Scannen von Impfzertifikaten: Warum auf die Software schimpfen nicht hilft

Wenn Impfzertifikate mit der falschen App gescannt werden, ist das ein Datenschutzverstoß – doch die Frage, wer hierfür die Verantwortung trägt, lässt sich weniger leicht beantworten als es zunächst den Anschein hat.

3 Min. Lesezeit
Anzeige
Anzeige
Noch tun sich viele Kontrolleur:innen schwer beim Check der Impfzertifikate. (Foto: Ralf Liebhold /Shutterstock)

Vor einigen Tagen erregte ein Vorfall die Gemüter, der von zahlreichen Medien aufgegriffen wurde. Ein Kölner Gastronom hatte sich beschwert, dass die Corona-App unsicher sei. Einige Medien nahmen die Meldung auf und titelten, der Kölner Barbesitzer hätte eine „Sicherheitslücke“ der Corona-App aufgedeckt. Er habe beim Einlass die Daten einer Vielzahl von Gästen gescannt und dann sämtliche Zertifikate auf seinem Gerät wiedergefunden. Was war passiert? Der Herr hatte, anders als das vorgesehen ist, nicht die App Covpass Check zum Überprüfen der Zertifikate genutzt, sondern über die handelsübliche Corona-Warn-App für Endnutzer wohl einfach auf „Zertifikate Scannen“ geklickt und damit unfreiwillig Dutzende Datensätze seiner Gäste „erbeutet“.

Anzeige
Anzeige

Diese Funktion gibt es tatsächlich – und sie ist ja eigentlich sinnvollerweise dafür gedacht, dass man die Impfzertifikate der eigenen Familie mit einscannen und so auch vorlegen kann, wenn nur einer das Smartphone griffbereit hat. In der Praxis könnte zumindest jemand, der irgendwo Zertifikate kontrolliert (und noch nicht selbst geimpft ist), sich ein solches Zertifikat eines Dritten erschleichen, um es dann gegebenenfalls selbst einzusetzen. Überall wo (fälschlicherweise) ein vorgezeigtes Zertifikat nicht mit den Ausweisdokumenten abgeglichen wird, käme man damit durch. Und klar dürfte auch sein: Je strenger die Regeln für Ungeimpfte werden, desto größer ist die Gefahr, dass Böswillige unter den Kontrollierenden sich Zertifikats-QR-Codes erschleichen werden.

QR-Code-Sammler: It’s not a bug, it’s a feature

So weit, so schlecht – denn es ist natürlich nicht im Sinne des Erfinders, dass ein Geschäftsbetreiber bei der Kontrolle die Namen und Impfdaten seiner sämtlichen Kunden einverleibt, weder freiwillig noch unfreiwillig. Doch ist das wirklich eine Sicherheitslücke oder eher ein Feature, das der Nutzer mangels Information und wider besseren Wissens falsch eingesetzt hat?

Anzeige
Anzeige

In der Tat fällt auf, wie schlecht informiert viele Geschäftsinhaber:innen, Restaurantbetreiber:innen und andere Kontrollierende sind, wenn es um den Umgang mit den Impfzertifikaten und um die Apps geht. Da wird – wie im Fall des Kölner Barbetreibers – die Covpass-Check-App mit der Corona-Warn-App verwechselt. Andere erklären jetzt im Rahmen der Diskussion, da müsse man doch die Betreiber der Luca-App in die Pflicht nehmen (die freilich ein komplett anderes System ist, das damit gar nichts zu tun hat). Doch wie viel ist hier Holschuld, wie viel Bringschuld? Würden diejenigen auch bei ihren geschäftlichen Dingen, der Steuer, Anmeldepflichten, Verpflichtungen gegenüber der Berufsgenossenschaft so schlampig agieren? Und würde man ihnen das durchgehen lassen?

Anzeige
Anzeige

Gute Dokumentation ist Grundvoraussetzung, reicht aber nicht

IT-Verantwortliche, die mit Dokumentation zu tun haben, predigen regelmäßig, man müsse sich stets am dümmsten anzunehmenden User orientieren – und das ist nicht einmal böse gemeint. Und so trägt einen Teil der Schuld sicher auch das Konsortium aus Telekom und SAP, das die Corona-Warn-App programmiert hat. Denn auch wenn die Funktion, die Zertifikate der Familienmitglieder quasi als Backup mit einlesen zu können, vernünftig und praktisch ist, dürfte man mehr als den handelsüblichen Familienkreis von sagen wir fünf, bestenfalls zehn Personen hier gar nicht hochladen können.

Die Programmierer haben angekündigt, dass sie hier nachbessern wollen. Aber noch wichtiger als die funktionale Nachbesserung wäre hier eine Dokumentation, die beispielsweise so eingängig ist, dass selbst Menschen mit eingeschränktem Textverständnis sie verstehen. Ansonsten kann man allerdings bei näherer Betrachtung weder den Programmierern der Corona-Warn-App noch denen der Covpass-Check-App noch denen der Covpass-App oder von Luca einen Vorwurf machen – außer vielleicht den, dass die Fülle dieser Anwendungen dafür sorgt, dass selbst gutwillige Nutzer:innen kaum noch durchblicken.

Anzeige
Anzeige

Gänzlich an der Realität vorbei geht indes ein Ratschlag von Verbraucherschützern, man solle doch als derjenige, der den QR-Code vorzeigt, sicherstellen, womit dieser gescannt wird. Das kann nicht funktionieren und wird eher zu mehr Misstrauen aus Unsicherheit führen. Es gibt hier nur eine Lösung – und die besteht in der Kontrolle von Personalausweisen oder anderen fälschungssicheren Lichtbildausweisen, ohne Wenn und Aber. Hier sind wir wieder bei der Dokumentation und der Hol- und Bringschuld bei den Kontrollen – wahrscheinlich braucht es harte Strafen an der Einlasskontrolle, damit Wirt:innen und Geschäftsleute sich auch wirklich mit dem Thema beschäftigen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige